Sauvegarde de DC pour un cas catastrophique

9

J'ai mis en place des sauvegardes hors site pour les éléments les plus critiques de l'entreprise dans laquelle je travaille. L'un de ces éléments critiques est le DC.

Maintenant, la société est assez petite, elle n'a donc qu'une seule forêt et deux serveurs DC sur des machines physiques distinctes (dont une virtualisée, cependant). Cela dit, un défaut critique dans la salle des serveurs pourrait détruire ces deux machines.

Donc, j'essaie de créer une sauvegarde DC pour un scénario de cas critique. Je continue de lire en ligne que la sauvegarde de l'état du système est suffisante, mais j'ai le sentiment que cela n'est valable que si vous voulez pouvoir restaurer le contrôleur de domaine sur le même serveur où la sauvegarde a été effectuée. J'ai essayé de prendre une sauvegarde de l'état du système, puis de la restaurer sur une machine virtuelle isolée (même serveur, mêmes mises à jour), et cela ... ne s'est pas si bien passé; la restauration s'est bien passée, mais je n'ai pas pu contacter le contrôleur de domaine local, même si je m'étais assuré que la machine virtuelle avait la même adresse IP qu'auparavant (toujours isolée, bien sûr). Aucune des consoles administratives liées à DC ne fonctionnait non plus. Il y avait même un avertissement pendant la restauration que la restauration d'un état du système à partir d'une autre machine n'est pas suggérée.

Ainsi, je pense que c'est la mauvaise approche. Alors ... quelle est la bonne approche, si je veux sauvegarder notre DC hors site, pour couvrir une panne critique? Une sauvegarde complète du lecteur C: + état du système ou je pourrais simplement sauvegarder l'intégralité du lecteur pour ce contrôleur de domaine virtualisé, mais j'essaie de rendre la sauvegarde aussi petite que possible ...

EDIT: J'essaie de faire la sauvegarde aussi petite que possible pour ne pas sauter sur les coûts, mais sur les temps de téléchargement.

PS. J'utilise l'application Azure Backup, mais je ne pense pas que ce soit si pertinent. Tous nos contrôleurs de domaine exécutent actuellement Windows Server 2016.

backup domain-controller Shaamaan
la source
7
+1 pour tester réellement la récupération critique;). Je n'utilise pas encore Azure Backup, mais l'état du système devrait être suffisant (quelle que soit la solution de sauvegarde que vous utilisez). Vous avez lu l' article de Technet , je suppose? Esp. la partie pour un autre serveur .
Lenniey
1
@Lenniey Oui, j'ai lu cet article. Mais, après réflexion, j'ai peut-être manqué une partie critique de celui-ci (en particulier le morceau pour suivre plus d'étapes après la récupération d'AD décrit ici . Je teste cela maintenant.
Shaamaan
Nous avons mis en place tout le coup pour cela. Le site de sauvegarde hors site contenait un contrôleur de domaine pour le domaine.
joshudson

Réponses:

7

J'essaie de rendre la sauvegarde aussi petite que possible ...

Il s'agit d'une approche courante et c'est la mauvaise approche.

Vous protégez l'un des actifs informatiques les plus importants de l'entreprise. Traitez-le comme tel. Rien de moins qu'une sauvegarde complète du contrôleur de domaine est acceptable. Vous pouvez utiliser la sauvegarde Windows Server intégrée pour effectuer une sauvegarde de récupération complète et sans système d'exploitation du contrôleur de domaine.

Les DC sont généralement petits. Vous pourriez probablement adapter l'intégralité d'une sauvegarde complète du DC sur un lecteur USB de 20,00 $. Ne lésinez pas.

Je comprends ... le logiciel de sauvegarde et le stockage peuvent être coûteux ... surtout au fil du temps. Je n'entends pas des administrateurs informatiques parler des moyens de réduire ces coûts. N'échangez pas votre capacité à récupérer quoi que ce soit et / ou tout simplement pour réduire les coûts. Vous devez déterminer le niveau de protection (sous forme de sauvegardes) dont vous avez besoin et comment équilibrer ce besoin avec ce dont vous disposez dans votre budget informatique. Les sauvegardes sont comme une assurance. Combien d'assurance voulez-vous / devez-vous avoir et combien êtes-vous prêt à payer pour cela?

Je ne veux pas être la personne qui doit expliquer au PDG que nous ne pouvons pas récupérer un élément critique de l'infrastructure informatique parce que nous essayions d'économiser quelques dollars.

Mon approche des sauvegardes est qu'il vaut mieux en avoir et ne pas en avoir besoin que d'en avoir besoin et ne pas en avoir.

D'un point de vue opérationnel et technique, je préfère de loin restaurer une sauvegarde BMR complète d'un contrôleur de domaine puis essayer de restaurer l'état du système du contrôleur de domaine sur une nouvelle machine.

joeqwerty
la source
J'ai besoin de -1 car cette réponse se concentre sur la mauvaise chose. J'ai édité ma question pour souligner que l'ATTEMPT pour rendre la sauvegarde aussi petite que possible découle de la nécessité de télécharger cette sauvegarde hors site et NON parce que nous sommes des patins moins chers et que nous ne pouvons pas nous permettre un lecteur. De plus, ce n'est qu'un ATTEMPT - s'il est impossible de s'en tenir à l'état du système, c'est bien d'aller plus gros. Nulle part dans ma question je n'ai dit que c'était une exigence absolue.
Shaamaan
OK, donc les raisons sont différentes de ce que je pensais, mais ma réponse est valable en ce qui concerne la sauvegarde d'un DC. Microsoft dit que vous pouvez sauvegarder l'état du système d'un contrôleur de domaine à l'aide d'Azure Backup, est-ce suffisant? Cela ne me suffit pas, mais si vous devez suivre cette voie, je vous suggère de tester une sauvegarde et une récupération avec un contrôleur de test pour vous assurer que cela fonctionne et que vous puissiez documenter le processus de récupération.
joeqwerty
-1 de moi aussi. Si le téléchargement d'une sauvegarde prend trois jours, il est probable qu'aucune sauvegarde complète n'arrivera à l'emplacement de sauvegarde.
AndreKR
1
Vous avez rejeté ma réponse en raison du temps qu'il faudrait pour effectuer une sauvegarde complète? C'est étrange. Vous risquez donc de ne pas être en mesure de restaurer complètement le contrôleur de domaine plutôt que de trouver une solution de sauvegarde acceptable qui garantit que vous pourrez restaurer complètement le contrôleur de domaine?
joeqwerty